Nel nostro articolo precedente, abbiamo visto 20 comandi Netstat per monitorare o gestire la rete Linux. Questa è la nostra altra serie in corso di strumenti sniffer di pacchetti chiamata tcpdump. Qui ti mostreremo come installare tcpdump e poi discuteremo e tratteremo alcuni comandi utili con i loro esempi pratici.
tcpdump è uno sniffer di pacchetti da riga di comando o uno strumento di analisi dei pacchetti più potente e ampiamente utilizzato che viene utilizzato per acquisire o filtrare i pacchetti TCP / IP ricevuti o trasferiti su una rete su uninterfaccia specifica. È disponibile nella maggior parte dei sistemi operativi basati su Linux / Unix. tcpdump ci offre anche unopzione per salvare i pacchetti catturati in un file per analisi future. Salva il file in un formato pcap, che può essere visualizzato con il comando tcpdump o uno strumento basato su GUI open source chiamato Wireshark (Network Protocol Analyzier) che legge i file in formato tcpdump pcap.
Come installare tcpdump in Linux
Molte delle distribuzioni Linux già fornite con lo strumento tcpdump, se nel caso in cui non lo si dispone sui sistemi, è possibile installarlo utilizzando il seguente comando Yum.
# yum install tcpdump
Una volta installato lo strumento tcpdump sui sistemi, è possibile continuare a sfogliare i seguenti comandi con i loro esempi.
1. Cattura pacchetti dallinterfaccia specifica
La schermata dei comandi scorrerà verso lalto fino a quando non interrompi e quando eseguiamo il comando tcpdump, catturerà da tutte le interfacce, tuttavia con -i cambia solo cattura dallinterfaccia desiderata.
2. Cattura solo N numero di pacchetti
Quando esegui il comando tcpdump catturerà tutti i pacchetti per linterfaccia specificata, finché non premi il pulsante Annulla. Ma usando lopzione -c, puoi catturare il numero specificato di pacchetti. Lesempio seguente acquisirà solo 6 pacchetti.
3. Stampa pacchetti acquisiti in ASCII
Il seguente comando tcpdump con lopzione -A mostra il pacchetto in formato ASCII. È un formato di schema di codifica dei caratteri.
4. Visualizza le interfacce disponibili
Per elencare il numero di interfacce disponibili sul sistema, eseguire il seguente comando con lopzione -D.
5. Visualizza i pacchetti acquisiti in HEX e ASCII
Il seguente comando con lopzione -XX cattura i dati di ogni pacchetto, inclusa la sua intestazione a livello di collegamento in formato HEX e ASCII.
6. Cattura e salva i pacchetti in un file
Come abbiamo detto, tcpdump ha una funzione per catturare e salvare il file in formato .pcap, per farlo basta eseguire il comando con lopzione -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Leggi il file dei pacchetti catturati
Per leggere e analizzare il file 0001.pcap dei pacchetti catturati usa il comando con lopzione -r, come mostrato di seguito.
8. Cattura pacchetti di indirizzi IP
Per catturare pacchetti per uninterfaccia specifica, esegui il seguente comando con lopzione -n.
9. Cattura solo pacchetti TCP.
Per acquisire pacchetti in base alla porta TCP, esegui il seguente comando con lopzione tcp.
10. Cattura pacchetti da una porta specifica
Supponiamo che tu voglia catturare pacchetti per una porta 22 specifica, esegui il comando seguente specificando il numero di porta 22 come mostrato di seguito.
11. Cattura pacchetti dallIP di origine
Per acquisire pacchetti dallIP di origine, supponiamo che tu voglia catturare i pacchetti per 192.168.0.2, usa il comando come segue.
12. Acquisisci pacchetti dallIP di destinazione
Per acquisire pacchetti dallIP di destinazione, supponi di voler acquisire pacchetti per 50.116.66.139, utilizza il comando come segue.